'Downloader'에 해당되는 글 7건
입사 이력서 메일로 위장한 Zbot 변형 유포 :: 2010/08/18 10:52
2009년도부터 국내로 꾸준히 유입되어 오던 Zbot 변형들이 8월 17일 야간에는 입사 이력서 메일로 위장하여 유포된 것이 다시 발견되었다. 그리고 그 외에 다수의 다른 악성코드들 역시 메일로 유포된 것을 확인 하였다.
입사 이력서 메일로 위장하여 악성코드가 유포된 사례는 이 번이 처음이 아니며 2010년 5월에는 Bredolab 변형이 2010년 6월에는 취약한 어도비 아크로뱃 리더(Adobe Acrobat Reader) 파일인 PDF 파일이 유포된 사례가 있다.
이 번에 유포된 Zbot 변형은 아래 이미지와 같은 메일 형식을 가지고 있으며 메일 제목으로 "tech resume"를 가지고 있다.
메일 본문에는 간단하게 이력서를 보라는 내용을 가지고 있으며 첨부 파일로는 resume.zip (142,780 바이트)이 존재하며 해당 압축 파일의 압축을 풀게 되면 resume.exe (144,384 바이트)이 생성된다.
Downloader 형태의 악성코드 역시 메일을 이용하여 유포되었으여 아래 이미지와 같은 메일 형식을 가지고 있다. 사용된 메일 제목은 "Summary of payments"과 같다.
메일 본문에는 작년에 지급된 금액을 보여준다는 금전적인 내용을 가지고 있으며 첨부 파일로는 2010 Financing.123.zip (144,537 바이트)을 가지고 있다.
압축된 해당 첨부 파일의 압축을 풀게되면 2010 Financing.123.exe (163,840 바이트)이 생성된다. 그리고 다른 Zbot 변형은 아래 이미지와 같은 메일 형식을 이용해 유포되었으며 메일 제목으로는 "More stuff"이 존재한다.
메일 본문에는 파일을 잘 못 보냈으니 첨부한 파일을 참고하라는 내용을 가지고 있으며 첨부 파일로는 Summary.zip (145,817 바이트)를 가지고 있다. 그리고 해당 첨부 파일의 압축을 풀게 되면 Summary.exe (147,456 바이트)이 생성된다.
이 번 입사 이력서 메일로 위장한 Zbot 변형과 메일을 이용하여 유포된 다른 악성코드 변형들은 V3 제품군에서 다음과 같이 진단한다.
Win-Trojan/Downloader.163840.AJ
Win-Trojan/Zbot.144384.J
Win-Trojan/Zbot.147456.S
다양한 방식으로 유포되는 악성코드들의 감염으로 인한 피해를 예방하기 위해서는 다음의 사항들을 숙지 할 필요가 있다.
1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.
2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.
3. 웹 브라우저를 통해서 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.
4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.
5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.
6. 전자 메일에 존재하는 의심스런 웹 사이트 링크는 클릭하지 않는다.
Trackback Address :: http://blog.ahnlab.com/asec/trackback/390
-
"invoice.html" 악성 파일을 첨부한 이메일 국내 유입
페이스북 암호 초기화 위장 내용 보기 Reset your Facebook password viruslab.tistory.com 그동안 계속 발견되는 파일들은 모두 nProtect Anti-Virus 치료 기능에 추가되고 있습니다. html 파일 유포자들의 목적은
감염 사실을 확인하는 스파이웨어의 행위 :: 2010/07/26 16:42
최근 들어 프로그램들이 설치 조건에 따라 설치방법을 서로 다르게 하여 이러한 프로그램들을 분석하는 분석가들이 악성여부를 정확하게 판단하기 어렵게 만들고 있다. 얼마 전 ASEC 블로그를 통해 “사용자 동의를 옵션으로 처리한 스파이웨어” 를 소개한 것에 이어 이번에는 프로그램 실행 후 불필요한 프로그램들을 적절한 사용자 동의절차 없이 불특정 다수에게 유포하고 있는 프로그램에 대해 소개하고자 한다.
Win-Trojan/Downloader.518657 를 실행하면 사용자가
지정한 파일을 다운로드 할 수 있는 일반적인 P2P(peer-to-peer) 사이트의 파일 다운로더(Downloader) 쯤으로 착각하기 쉽다. 정상적인 P2P 사이트의 다운로더라면 사용자가 다운로드하고 싶은 파일을 선택한 후 해당 파일을 사용자의 컴퓨터로 다운로드
해주는 것이 일반적일 것이다. 그러나
Win-Trojan/Downloader.518657 를 실행하면 사용자가 선택한 적도 없는 파일들이 실행되는 파일의 이름에 따라 선택되어
다운로드 화면이 다음 그림과 같이 나타난다.
이렇게 실행된 Win-Trojan/Downloader.518657 는 비정상적인 동작들이 성공적으로 수행된 사용자를 구별하기 위해 맥 주소(MAC Address)를 서버로 전송하여 서버로부터 추가적인 프로그램 다운로드 여부를 전달받게 된다.
위 그림2 와 같이 설치할 프로그램 목록을 전달받은 Win-Trojan/Downloader.518657 은 차례로 프로그램들을 다운로드 받아 실행한다. 이렇게 설치가 완료되면 서버에서는 이전에 전송한 맥 주소에 해당하는 PC 에는 설치가 완료되었다고 기록된다. 그러고 나면 위 그림과 동일한 쿼리를 재전송하여도 해당 서버에서는 설치 프로그램 목록을 보내오지 않는다. 물론 수동으로 맥 주소를 변경할 경우 설치 프로그램 목록을 보여준다.
또한 다수의 프로그램을 설치할 경우 아래 그림과 같이 빨간 박스 부분에서와 같이 여러 목록들을 확인할 수 있는 스핀(Spin)버튼이 나타나는데, 실제로 이 부분을 인식하고 프로그램 설치여부를 확인할 수 있는 사용자는 극히 드물 것이다.
또한 Win-Trojan/Downloader.518657 와 관련된 홈페이지를 찾아 가보았으나 유령회사를 보는 것과 같이 겉모습만 있을 뿐 아무런 서비스도 제공되고 있지 않았다. 이러한 정황들을 미루어 해당 프로그램은 정상적으로 서비스되고 있다고 판단하기 어려운 점들이 많다. 그래서 더욱 풀리지 않는 궁금한 점들이 곱지 않게 보이는 것 같다.
Trackback Address :: http://blog.ahnlab.com/asec/trackback/369
제로 데이 취약점의 PDF 파일 상세 분석 :: 2009/12/16 20:28
ASEC에서는 2009년 12월 15일 어도비(Adobe) 아크로뱃 리더(Acrobat Reader)의 알려지지 않은 취약점을 악용하여 악성코드 감염을 시도한 타켓 공격(Target Attack)이 발생하였다는 소식을 전한 바가 있었다.
이와 관련해 현재 어도비에서는 APSA09-07 Security Advisory for Adobe Reader and Acrobat 보안 권고문을 공개하고 해당 취약점에 대한 보안 패치는 2010년 1월 12일 경에 제공 할 예정이라고 밝히고 있다.
ASEC에서는 해당 타켓 공격에 악용된 취약한 PDF 파일과 함께 감염을 시도한 악성코드들에 대한 상세 분석을 진행하였다.
현재 해당 제로 데이(Zero Day, 0-Day) 취약점과 관련한 ASEC 보안 권고문인 ASEC Advisory SA-2009-017 Adobe Reader 와 Acrobat 코드 실행 제로데이(0-day) 취약점 주의을 작성하여 공개하고 있다.
이 번에 발생한 어도비 아크로뱃 리더 PDF 파일에 존재하는 제로데이 취약점을 통해 감염을 시도한 악성코드는 위 이미지와 같은 전체 구성도를 가지고 있다.
먼저 취약한 PDF 파일은 파일 내부에 존재하는 아래 이미지와 동일한 자바스크립트(JavaScript)를 이용하여 힙 스프레이(Heap Spray) 버퍼오버플로우(BufferOverflow)를 이용한 코드 실행 취약점으로 분석되었다.
해당 PDF 파일이 실행 될 경우 아래 이미지에서와 같이 힙 메모리 영역 0x08260000에서 0x0A25F000까지 스프레이 코드(Spray Code)가 블럭단위로 존재하고 있으며 이로 인해 버퍼 오버플로우가 발생하게 된다.
버퍼 오버플로우가 발생하게 되면 아래 이미지와 같이 메모리 0x05107761 영역에 존재하는 악성코드를 로컬 시스템의 윈도우 임시 폴더에 AdobeUpdate.exe(172032 바이트) 라는 파일명으로 생성하고 실행하게 된다.
생성된 AdobeUpdate.exe(172032 바이트) 파일이 실행되면 DelUS 라는 배치 파일을 C 루트에 생성해 자신과 해당 배치 파일을 로컬에서 삭제하고 메모리에서만 동작하도록 한다.
그리고 말레이시아에 위치한 특정 서버에서 ab.exe(386016 바이트) 파일을 다운로드 한 후 실행하도록 시도하나 현재 해당 악성코드는 서버에서 삭제되고 존재하지 않는다.
해당 ab.exe (386016 바이트) 파일이 정상적으로 다운로드 되면 AdobeUpdate.exe(172032 바이트)는 윈도우 폴더(c:\windows)에 winver32.exe 라는 파일명으로 생성하고 실행하게 된다.
다운로드 된 winver32.exe가 정상적으로 실행되면 감염된 시스템에서 개인 정보 등을 수집하여 외부로 전송하는 역할을 수행하게 된다.
이 번 어도비 아크로뱃 리더 PDF 파일에 존재하는 제로 데이 취약점을 악용해 감염을 시도한 악성코드들은 V3 제품군에서 다음과 같이 진단한다.
PDF/CVE-2009-4324
Win-Trojan/Downloader.172032.AH
Win-Trojan/Agent.386016
현재 해당 취약점에 대한 보안 패치가 2010년 1월 12일경에 제공될 예정임으로 해당 취약점을 악용한 보안 위협으로부터 피해를 예방하기 위해서는 다음 이미지에서와 같이 설정을 하는 것이 중요하다.
아크로뱃 리더 상위 메뉴에서 [편집] -> [기본 설정]에서 자바스크립트(JavaScript) 사용 가능에 체크 마크를 해제해 자바스크립트 실행을 차단하는 것이 중요하다.
0-day,
ab.exe,
Acrobat Reader,
Adobe,
AdobeUpdate.exe,
Advisory,
Agent,
AhnLab,
APSA09-07,
ASEC,
BufferOverflow,
CVE-2009-4324,
DelUS.bat,
Downloader,
exploit,
Heap Spray,
JavaScript,
PDF,
SA-2009-017,
Security,
Target Attack,
winver32.exe,
zeroday,
권고문,
버퍼오버플로우,
보안,
아크로뱃 리더,
악성코드,
안랩,
안철수연구소,
어도비,
자바스크립트,
제로데이,
취약점,
코드 실행,
타켓공격,
힙 스프레이
Trackback Address :: http://blog.ahnlab.com/asec/trackback/212
-
어도비 리더/bat 제로데이 취약성 발견!
비 전문가의 글이므로 오류가 있을 수도 있습니다. 오늘 인터넷을 하다 보니 어도비 리더/bat가 12월14일 새로운 제로데이 취약성이 발견되었다고 합니다. 영향을 받는 제품은 9.2버전까지입니다.
해외 대규모 SQL 인젝션 공격으로 악성코드 유포 :: 2009/12/14 18:36
2009년 12월 9일 해외 보안 업체와 해외 언론 들을 통해 11월 말에서 12월 초사이 대규모 SQL 인젝션(Injection) 공격으로 인해 약 12만 개의 웹 사이트가 공격을 받고 악성코드 유포에 악용된 사실이 보고 되었다.
이 번에 발견된 대규모 SQL 인젝션 공격은 다음의 취약점들을 악용하는 자바 스크립트로 제작된 악성 스크립트 파일을 통해 최종적으로 온라인 게임 관련 개인 정보들을 유출하는 악성코드를 다운로드 한 후 실행하도록 제작 되어 있었다.
* 공격 대상 취약점
MS07-009
Vulnerability in Microsoft Data Access Components Could Allow Remote Code Execution (927779)
MS09-002
Cumulative Security Update for Internet Explorer (961260)
MS09-032
Cumulative Security Update of ActiveX Kill Bits (973346)
MS09-043
Vulnerabilities in Microsoft Office Web Components Could Allow Remote Code Execution (957638)
APSB08-11
Flash Player update available to address security vulnerabilities
위와 같이 마이크로소프트(Microsoft)에서 개발한 웹 브라우저인 인터넷 익스플로러(Internet Explorer)와 어도비(Adobe)의 플래쉬(Flash)에 존재하는 취약점들을 악용하게 되어 있다.
해당 대규모 SQL 인젝션 공격의 최종 목적은 특정 웹 사이트에 존재하는 down.css (93184 바이트)의 파일을 다운로드 한 후 실행 하도록 되어 있다.
해당 악성코드는 볼란드 델파이(Boland Delphi)로 제작되었으며 실행되면 다음 특정 폴더에 파일들을 생성한다.
C:\Program Files\Common Files\auto.exe
C:\Documents and Settings\<사용자 계정>\Local Settings\Temp\~rkwof.tmp
그리고 USB 이동형 저장 장치를 통해 전파를 하고자 다음과 같은 파일들을 생성한다.
C:\AutoRun.inf
C:\auto.exe
윈도우 시스템의 특정 레지스트리 키 값들을 생성해서 윈도우 시스템이 부팅할 때 마다 자동 실행 되도록 하며 중국에 위치한 특정 시스템에서 온라인 게임의 사용자 정보를 유출하는 트로이목마들을 다수 다운로드 하게 되어 있다.
이번 대규모 SQL 인젝션 공격과 관련한 악성코드는 V3 제품군에서 다음과 같이 진단한다.
Packed/Upack
JS/Shellcode
JS/Redirect
Win-Trojan/Downloader.93184.AD
Win-Trojan/Agent.8256.B
Win-Trojan/Buzus.93184.U
취약한 웹 사이트를 통해 유포되는 악성코드의 감염으로 인한 피해를 예방하기 위해서는 아래와 같은 보안 수칙을 숙지하고 지켜 나가야만 한다.
1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.
2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.
3. 웹 브라우저를 통해서 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.
4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.
5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.
6. 전자 메일에 존재하는 의심스런 웹 사이트 링크는 클릭하지 않는다.
Adobe,
Agent,
APSB08-11,
auto.exe,
AutoRun.inf,
Boland,
Buzus,
Delphi,
down.css,
Downloader,
flash,
Internet Explorer,
JS/Redirect,
JS/Shellcode,
Microsoft,
MS07-009,
MS09-002,
MS09-032,
MS09-043,
Packed/Upack,
sql injection,
SQL 인젝션,
~rkwof.tmp,
다운로드,
대규모,
델파이,
마이크로소프트,
볼란드,
사용자,
악성코드,
어도비,
온라인게임,
웹브라우저,
웹사이트,
인터넷 익스플로러,
자바스크립트,
정보,
트로이목마,
플래쉬
Trackback Address :: http://blog.ahnlab.com/asec/trackback/209
독일 시스템에 대한 DDoS 공격 악성코드 발견 :: 2009/08/05 17:37
8월 3일에서 4일 독일에 위치한 특정 시스템으로 분산 서비스 거부 공격(DDoS)을 수행하는 악성코드들이 발견되었다는 보고가 8월 5일 ASEC으로 전달 되었다.
분산 서비스 거부 공격은 전 세계에 위치한 102대의 악성코드에 감염된 좀비(Zombie) 시스템들에 의해서 이루어졌으며 공격을 받은 시스템은 독일에 위치한 시스템으로 최초 보고 되었다.
악성코드에 감염된 좀비 시스템들은 위 이미지에서와 같이 전 세계에 걸쳐서 다양하게 분포되어 있으며 다행스럽게도 한국 내에 존재하는 시스템은 없었다.
그러나 ASEC에서 분석을 진행하는 과정에서 공격 대상이 되는 시스템은 악성코드에 감염된 좀비 시스템을 조정하는 커맨드 앤 컨트롤 (C&C, Command and Control) 시스템을 통해 악성코드 제작자 또는 악의적인 공격자 명령에 따라서 공격 대상이 변경 되는 것으로 분석 되었다.
해당 악성코드는 V3 제품군에서 다음과 같이 진단한다.
Win-Trojan/IRCBot.20480.F
해당 악성코드가 실행이 되면 아래 이미지에서와 같이 특정 IP 대역의 시스템으로 ICMP 체크를 통해 응답이 오는 시스템들에 대해 원격 접속 프로그램인 Radmin 프로그램의 기본 포트인 TCP/4899 로 접속을 시도한다.
그리고 C&C 시스템을 통해 악성코드 제작자 또는 악의적인 공격자가 지정한 시스템으로 TCP Syn flooding 형태의 분산 서비스 거부 공격을 수행하게 된다.
해당 IRCBot 악성코드에 감염된 좀비 시스템들을 조종하는 C&C 시스템은 중국에 위치하고 있으며 해당 시스템의 웹 페이지에서는 아이프레임(iFrame)을 통해 다른 악성코드를 유포 중에 있었다.
중국에 위치한 C&C 시스템에서 유포하는 악성코드는 V3 제품군에서 다음과 같이 진단한다.
Win-Trojan/Downloader.9728.OP
ASEC에서 이번 독일 시스템에 대한 분산 서비스 거부 공격에 사용된 악성코드와 C&C 시스템에 대한 분석으로는 특별한 용도로 제작된 웹 익스플로잇 툴 킷을 통해 조정되거나 악성코드가 유포되고 있는 것으로 추정된다.
이러한 악성코드의 감염으로 인해 좀비 시스템으로 악용 되는 것을 예방하기 위해서는 다음의 사항들을 숙지 할 필요가 있다.
1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.
2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.
3. 웹 브라우저를 통해서 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.
4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.
5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.
6. 전자 메일에 존재하는 의심스런 웹 사이트 링크는 클릭하지 않는다.
ASEC,
C&C,
Command,
Control,
DDoS,
Downloader,
iFrame,
IRCBot,
V3,
Web Exploit Toolkit,
zombie,
독일,
분산 서비스 거부 공격,
서비스 거부,
아이프레임,
악성코드,
웹 익스플로잇 툴킷,
좀비,
커맨드,
컨트롤
Trackback Address :: http://blog.ahnlab.com/asec/trackback/85
DDoS 악성코드들의 연관 관계 상세 분석 :: 2009/07/10 04:04
2009년 7월 7일 대한민국에서는 분산 서비스 거부 공격(DDoS)으로 인해 다수의 정부와 민간 업체들의 홈페이지가 접속 불능이 되는 사고가 발생하였다.
이번 사고에 대해 ASEC에서는 7월 6일 저녁 무렵부터 신속하게 분산 서비스 거부 공격이 발생한 원인을 파악하기 시작하여 7월 7일 새벽 이번 공격은 다수의 악성코드에 의해서 발생한 것으로 파악하였다.
이 번에 발생한 분산 서비스 거부 공격은 하나의 악성코드에 의해서 동시 다발적으로 발생한 것이 아니라 다수의 악성코드가 서로 연결되어 공격하도록 정교한 메카니즘으로 설계 된 것으로 분석하였다.
정교한 메카니즘으로 동작하게 되어 있는 이번 악성코드들에 대한 분석 결과를 바탕으로 각각의 악성코드들의 상관 관계를 도식화 하면 아래 이미지와 같이 그려지게 된다.
이미지를 클릭하면 조금 더 큰 화면으로 볼 수가 있다.
위 이미지와 같이 조금 복잡한 메카니즘으로 동작하게 되어 있는 악성코드들을 조금 상세하게 설명을 하면 다음과 같이 동작하게 되어 있다.
1. 악성 코드들의 감염 및 실행
최초 문제가 되었던 msiexec1.exe(Win-Trojan/Downloader.374651)가 실행이 되면 임시 폴더인 Temp 폴더에 _S3.tmp 파일부터 _S9.tmp 파일까지 생성하게 된다. 생성된 파일들은 모두 zlib 이라는 압축 파일 형태로 되어 있으며 해당 악성코드는 이 파일들의 압축을 푼 후 모두 윈도우 시스템 폴더(c:\windows\system32)에 다음의 파일명으로 복사 된다.
_S3.tmp -> wmiconf.dll (Win-Trojan/Agent.67072.DL 진단)
_S4.tmp -> wpcap.dll (네트워크 관련 정상 파일)
_S5.tmp -> packet.dll (네트워크 관련 정상 파일)
_S6.tmp -> WanPacket.dll (네트워크 관련 정상 파일)
_S7.tmp -> npf.sys (네트워크 관련 정상 파일)
_S8.tmp -> npptools.dll (네트워크 관련 정상 파일)
_S9.tmp -> wmcfg.exe (Win-Trojan/Agent.65536.VE 진단)
그리고 현재까지 5개가 발견된 분산 서비스 거부 공격의 대상 리스트가 보관되어 있는 uregvs.nls 파일을 생성하게 된다. uregvs.nls 파일에 기록된 공격 대상이 되는 시스템은 이미 국내 언론 등을 통해서 공개된 바와 같이 주요 정부 및 민간 업체 홈페이지 주소이며 이와 동시에 분산 서비스 거부 공격의 시작 일자와 시간들 역시 같이 기록 되어 있다.
그리고 해외에 위치한 3대의 시스템에 몇 차례 접속을 시도한 후 해당 악성코드는 종료하게 된다.
2. 악성코드에 의한 분산 서비스 거부 공격
msiexec1.exe에 의해 생성된 wmiconf.dll (Win-Trojan/Agent.67072.DL 진단)은 "WMI Performance Configuration" 라는 명칭으로 윈도우 서비스로 등록하게 된다. 등록이 완료된 이후에는 3분간의 대기시간을 가지게 된다.
3분간의 대기 시간이 종료하게 되면 msiexec1.exe 파일에 의해 생성된 분산 서비스 거부 공격의 대상이 되는 웹 사이트 주소가 기록된 uregvs.nls 파일을 읽어들여서 순서대로 분산 서비스 거부 공격이 실행 되게 된다.
ASEC에서 확보한 공격 대상이 되는 웹 사이트 주소가 기록된 uregvs.nls 파일은 총 5가지의 종류가 존재하며 최초 공격 시작 시간은 2009년 7월 5일 02시부터 14시까지였으며 총 5개의 미국 정부 기관 웹 사이트들만이 대상이 되었다.
그러나 그 이후 발견된 파일에는 7월 5일 22시부터 7월 6일 07시까지 총 21개의 미국 정부 기관 및 민간 업체 웹 사이트들이 공격대상으로 포함되었다. 한국의 경우에는 4번째 공격 진행 시각인 7월 7일 18시부터 7월 8일 18시까지 총 24시간 동안 포함되어 있었다.
3. 분산 서비스 거부 공격의 패킷 형태
이번 분산 서비스 거부 공격의 형태에 대해서 ASEC에서는 크게 2가지 형태의 네트워크 패킷(Packet)을 분석하였다.
1) TCP 프로토콜의 80번 포트를 통해 다수의 HTTP GET Request 형태의 패킷을 전송
2) TCP 프로토콜의 80번 포트, UDP프로토콜의 80번 포트 및 ICMP 프로토콜을 이용해 50 바이트 이내의 임의 페이로드(payload) 전송을 하는 형태이며 이 경우 감염된 컴퓨터 시스템의 IP가 위조 된다.
해당 악성코드가 실행하게 되면 감염된 1대의 시스템에서 초당 1050 패킷으로 100KB 정도 발생 된다. 그리고 공격 대상이 되는 웹 사이트를 기준으로 하면 감염된 1대의 시스템에서 초당 100 패킷으로 7KB 정도의 네트워크 트래픽이 발생하게 된다.
4. 감염된 시스템의 하드 디스크 손상
위 이미지에서 최초 msiexec1.exe 파일에 의해 생성된 S9.tmp(wmcfg.exe, Win-Trojan/Agent.65536.VE 진단) 파일은 다시 mstimer.dll(Win32/Mydoom.worm.45056.D 진단) 파일을 생성한다. 생성된 mstimer.dll은 다수의 시스템들에서 flash.gif 파일을 다운로드 해오게된다.
다운로드 한 flash.gif 파일은 wversion.exe(2nd)(Win-Trojan/Destroyer.37264 진단)을 생성하며 생성된 해당 파일은 감염된 시스템의 날짜가 2009년 7월 10일 0시를 기해 A ~ Z 드라이브의 물리적인 처음 시작 위치 부터 ‘Memory of the Independence Day’ 문자열 데이터를 삽입하여 MBR(Master Boot Record) 및 파티션 정보가 삭제되는 증상을 유발한다.
이 문제로 인해 감염된 시스템의 정상적인 부팅이 되지 않는 문제를 유발하게 되는 것이다.
그리고 감염된 시스템에 존재하는 ".doc", ".docx"과 ".docm" 등의 문서 관련 파일들을 검색해 ".zip", ".zoo" 및 ".arc" 등의 압축 파일로 위 이미지에서와 같이 알파벳과 숫자로 구성된 임의로 선택된 8자리 문자로 암호를 설정하여 압축하게 된다.
이러한 정교한 메카니즘으로 감염된 시스템들을 이용한 분산 서비스 거부 공격 그리고 시스템의 하드 디스크 손상으로 이어지는 이번 악성코드 감염 사고는 다시 한번 자신이 사용하는 컴퓨터 시스템에 대한 보안 설정 및 관리 등의 평소 컴퓨터 사용 습관이 얼마나 중요한지 일깨워 준 좋은 사례라고 볼 수 있다.
Trackback Address :: http://blog.ahnlab.com/asec/trackback/50
-
네이버, 옥션, 청와대 공격 악성코드 분석
Tracked from 쿨캣의 블로그 놀이 | 2009/07/10 08:11 | DELMsiexec1.exe (Win-Trojan/Downloader.374651) 실행 : 윈도우 시스템 폴더에 패킷 관련 WinPcap 파일(Packet.dll, WanPacket.dll, wpcap.dll) 및 악성코드 생성(wmcfg.exe 와 wmiconf.dll) 안철수연구소 분석 정보 : http://kr.ahnlab.co
-
네이버, 옥션, 청와대 접속 문제의 비밀
Tracked from 쿨캣의 블로그 놀이 | 2009/07/10 08:12 | DEL2009년 7월 7일 영화를 보고 집에 오는 길에 아는 형이 연락했다. "지금 네이버하고 옥션 접속 잘 안되는데 알고 있는 사항 좀 있으면 연락줘." 집에 도착해 확인해보니 별다른 얘기가 없고 기사만
-
DDoS 바이러스 녀석!!
Tracked from ILUKU BLOG | 2009/07/10 09:06 | DELDDoS 바이러스?2일전부터 네이버 메일이 먹통이길래.. 어랏? 우리집인터넷이 맛이 갔나? 라고 먼저생각했지만네이버메일이 안 열렸던 것이였다..ㅠㅠ 작업파일을 메일로 보내놨었는데.. 덕분에
-
[DDoS] 7월 10일 0시(이후) 파일 파괴 시작 + 긴급 사전 조치 방법
10일 0시 악성코드(wversion.exe)에 감염되었던 컴퓨터는 파일이 파괴되고, 부팅이 안되는 피해를 입을 수 있습니다. [피해 소식] PC 고장 신고 속출…PC대란 우려 http://www.seoul.co.kr/news/newsView.php?id=2009
-
DDoS 공격, 예방만이 살 길!
Tracked from 도로시의 OZ LAB | 2009/07/10 10:02 | DEL주요 기관, 포털사이트 사이버테러에 노출돼 어제 네이버에서 메일을 보내려고 하는데 갑자기 컴퓨터가 멈춰버려서 깜짝 놀랐답니다. +.+ 처음엔 “접속자가 많아서 그런가?” 하고 대수롭지
-
안철수연구소, DDoS 전용백신 무료 제공
7월 7일 발생한 DDoS 공격으로 인해 정부기관과 금융권과 주요 포털 등의 사이트들이 접속이 지연되거나 접속 자체가 불가능한 현상이 발생하고 있습니다. 이는 다수의 좀비PC를 이용해 대량의
-
국내 대형 사이트 공격 피해 (2009.07.07)
Tracked from 울지않는벌새 : Security, Movie & Society | 2009/07/10 11:13 | DEL오늘 저녁경부터 청와대, 한나라당, 조선일보, 옥션, 네이버 등의 국내 대형 사이트 서비스가 원인을 알 수 없는 공격에 한 때 접속이 되지 않았다고 합니다. 현재도 일부 사이트들은 접속시 느
-
DDoS 공격의 가해자가 되지 말자!
Tracked from 울지않는벌새 : Security, Movie & Society | 2009/07/10 11:14 | DEL어제 저녁부터 시작된 공격자를 알 수 없는 DDoS 공격으로 인하여 국내 일부 유명 사이트들이 접속이 되지 않는 일이 있었습니다. 국내 대형 사이트 공격 피해 (2009.07.07) 이로 인하여 정부 차원에
-
네이버, 옥션 등 DDoS공격은 악성코드 때문
Tracked from 좋은진호의 여유만만 | 2009/07/10 13:28 | DEL어제 네이버 메일과 쪽지기능, 옥션(auction.co.kr), 조선닷컴(chosun.com), 청와대(www.president.go.kr), 국방부(www.mnd.go.kr), 은행사이트, 그리고 백악관 등 다수 사이트가 DDoS공격을 받았다. 지금도 청와대,
-
이번 DDoS 공격은 가상 시나리오의 부분 현실화? (내용 일부 추가중)
개인적으로 이번 국가기관, 주요 포털 및 금융, 언론, 보안사이트 등을 대상으로 한 분산 서비스 거부(DDoS : Distributed Denial of Service) 공격과 악성코드에 노출된 개인 컴퓨터를 대상으로 한 데이터
-
네이버, 청와대 접속불가 사태 정리 - 악성코드와 DDoS
Tracked from chatii의 웹노트 | 2009/07/12 15:25 | DEL7월 7일, 네이버와 청와대 등 주요 웹사이트에 접속이 되지 않는 사태의 직접적인 원인은 악성코드입니다. 악성코드에 감염된 수만 대의 개인 PC에서 서버에 대해 DDoS 공격을 감행함으로써 생긴
대량의 FTP 계정 탈취 악성코드 발견 :: 2009/07/03 23:35
6월 29일 미국의 보안 업체 프리빅스(Prevx)에서 6월 24일 대량의 FTP 로그인 계정을 탈취한 악성코드를 발견하였다고 한다.
프리빅스는 최초 6월 24일 악성코드가 탈취한 FTP 로그인 계정이 특정 서버에 보관 중인 것을 발견 하였으며 당시에는 총 6만 6천개의 계정이 보관 중이었으니 일정 시간이 지난 뒤에는 7만 4천개로 증가하였다고 한다. 그리고 현재는 8만 8천개를 확보 하였다고 한다.
프리빅스는 이번에 발생한 보안 사고는 웹 익스플로잇 툴 킷(Web Exploit Toolkit)에 의해 악성코드가 유포되고 감염 컴퓨터 시스템에서 FTP 로그인 계정들을 수집해서 전송 한 것으로 보고 있다.
현재 프리빅스에서는 해당 악성코드에 의해 탈취된 FTP 계정들을 다음의 웹 사이트를 통해 조회 및 확인 할 수 있도록 제공하고 있다.
이번 보안 사고와 관련된 악성코드를 V3 제품군에서는 다음과 같이 진단 한다.
Win-Trojan/Downloader.71680.T
Win-Trojan/Beastdoor.44544
이러한 악성코드의 감염으로 인한 피해를 예방하기 위해서는 다음의 사항들을 숙지 할 필요가 있다.
1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.
2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반듯이 설치한다.
3. 웹 브라우저를 통해서 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.
4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.
5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.
6. 전자 메일에 존재하는 의심스런 웹 사이트 링크는 클릭하지 않는다.
이번 보안 사고와 관련한 자세한 내용은 프리빅스의 블로그와 국내외 기사들인 아래 웹 사이트를 참고 하기 바란다.
Trackback Address :: http://blog.ahnlab.com/asec/trackback/45